Estrategias Nacionales de Ciberseguridad en El Mundo
5
Artícu los Profesionales Seguridad de la Información y Protección de Datos. Seguridad Colectiva y Defensa Nacional. Estrategias nacionales de ciberseguridad en el mundo Carles Sol é Pa scual y Adolf o Hernández Carles Solé Pascual es Director del Spanish Cyber Secur ity Institute de ISMS Forum Adolfo Hernández es m iemb ro del Spanish Cibe r Security Institute de ISMS Forum. Subdirector y cofundador de THIBER La creciente conectividad y el uso masivo del ciberespacio, un nuevo entorno totalmente transversal e imbricado en todos los estamentos de una sociedad moderna. Es una constatación más de la necesidad de fijar una base común que pueda hacer fren te a un at aque o una ac c ió n deli c tiva sobre ciu dadanos, em pr esas o esta dos, perpetrada parcialmente o en su totalidad por medios digitales. Si bien es cierto que este nuevo entorno conlleva ciertas dificultades inherentes jur ídi c o- té cnicas , la apa rente de spreoc upac ión pol ítica internacional no puede obv iar esta realidad que aglutina en la actualidad la variedad delictiva de mayor crecimiento: el c iber crim en, habiéndose dat ado el volum en t otal de las pérdi das asoc iadas al mismo en 87.000 millones de euros en el mundo en 2013. Este hecho ejemplifica a la perfección la vulnerabilidad sistémica del ciberespacio: el crecimiento, ubicuidad y grado de penetración de las nuevas tecnol ogí as supera con creces la velocidad de l os procesos legislativos existentes.Pero el problema se ha multiplicado y se ha establecido como un riesgo real que trasciende el mero daño económico a una empresa. Ahora ya se sitúa en el ámbito nacional, supranacional y global, afectando por igual a ciudadanos, gobiernos y empresas. Sólo hay que comparar los últimos informes del World Economic Forum de Davos [1] para ver cómo los riesgos relacionados con los ciberataques han ido adquiriendo relevancia paulatina con el tiempo. Ciberestrategias De esta forma, a fin de evitar impactos no previstos derivados de la falta de madurez regulatoria y procedimental y del creciente número de amenazas ciber, los estados soberanos comienzan a disponer de estrategias integrales de ciberseguridad a través de una hibridación jurídico-técnica, tanto en el entorno empresarial como sectorial.Con más de 27 ciberestrategias a escala mundial, 18 de ellas europeas –plaza que además cuenta con una directiva comunitaria de ciberseguridad–, la gestación de dichos documentos ha estado rodeada de una c reciente expect ac ió n ya que ot org an, de forma general, tanto el reconocimiento estratégico que tiene el ciberespacio para los diversos países como el posicionamiento en este nuevo entorno virtual. Si bien el contexto sociopolítico natal de muchas de ellas dista de ser el óptimo (pensemos en el
description
Estrategias Nacionales de Ciberseguridad en El Mundo
Transcript of Estrategias Nacionales de Ciberseguridad en El Mundo
-
Artculos Profesionales
Seguridad de la Informacin y Proteccin de Datos. Seguridad Colectiva y Defensa Nacional.
Estrategias nacionales de ciberseguridad en elmundo
Carles Sol Pascual y Adolfo Hernndez
Carles Sol Pascual es Director del Spanish Cyber Security Institute de ISMSForum Adolfo Hernndez es miembro del Spanish Ciber Security Institute de
ISMS Forum. Subdirector y cofundador de THIBER
La creciente conectividad y el uso masivo del ciberespacio, un nuevo entornototalmente transversal e imbricado en todos los estamentos de una sociedadmoderna.
Es una constatacin ms de la necesidad de fijar una base comn que pueda hacerfrente a un ataque o una accin delictiva sobre ciudadanos, empresas o estados,perpetrada parcialmente o en su totalidad por medios digitales.
Si bien es cierto que este nuevo entorno conlleva ciertas dificultades inherentesjurdico-tcnicas, la aparente despreocupacin poltica internacional no puede obviaresta realidad que aglutina en la actualidad la variedad delictiva de mayor crecimiento:el cibercrimen, habindose datado el volumen total de las prdidas asociadas al mismoen 87.000 millones de euros en el mundo en 2013. Este hecho ejemplifica a laperfeccin la vulnerabilidad sistmica del ciberespacio: el crecimiento, ubicuidad ygrado de penetracin de las nuevas tecnologas supera con creces la velocidad de losprocesos legislativos existentes.Pero el problema se ha multiplicado y se haestablecido como un riesgo real que trasciende el mero dao econmico a unaempresa. Ahora ya se sita en el mbito nacional, supranacional y global, afectandopor igual a ciudadanos, gobiernos y empresas. Slo hay que comparar los ltimosinformes del World Economic Forum de Davos [1] para ver cmo los riesgosrelacionados con los ciberataques han ido adquiriendo relevancia paulatina con eltiempo.
Ciberestrategias
De esta forma, a fin de evitar impactos no previstos derivados de la falta de madurezregulatoria y procedimental y del creciente nmero de amenazas ciber, los estadossoberanos comienzan a disponer de estrategias integrales de ciberseguridad a travsde una hibridacin jurdico-tcnica, tanto en el entorno empresarial como sectorial.Conms de 27 ciberestrategias a escala mundial, 18 de ellas europeas plaza que ademscuenta con una directiva comunitaria de ciberseguridad, la gestacin de dichosdocumentos ha estado rodeada de una creciente expectacin ya que otorgan, deforma general, tanto el reconocimiento estratgico que tiene el ciberespacio para losdiversos pases como el posicionamiento en este nuevo entorno virtual. Si bien elcontexto sociopoltico natal de muchas de ellas dista de ser el ptimo (pensemos en el
-
caso estonio, creado menos de un ao despus de los ciberataques que paralizaron elpas), igual de ineficaz resulta la ausencia de una estrategia de ciberseguridadnacional como aquellas que han sido alumbradas sobre situaciones demasiadogeneralistas, fuera de contexto presupuestario y sin un plan de aterrizaje delimitadopor prioridades, plazos e hitos temporales.As, se observa que las diferentes realidadessocioeconmicas y tecnolgicas existentes en el mundo definen y delimitan en granmedida los diversos grados de desarrollo de dichas estrategias.
Timeline de las Estrategias de Ciberseguridad Nacional.Fuente: THIBER, the cybersecurity think tank
En reas como el Sahel y el Magreb, debido al bajo ndice de penetracin de Internet,existe un grado de concienciacin muy bajo respecto al valor estratgico delciberespacio. Sin embargo, en el polo opuesto encontramos a los pases que formanparte de los Five Eyes (Canad, Estados Unidos, Reino Unido, Nueva Zelanda yAustralia), los pases europeos estratgicos miembros de la Alianza Atlntica entrminos ciber (como Estonia) o la emergente Amrica Latina, con Brasil a la cabeza.Es importante remarcar que los pases asiticos con aproximaciones intervencionistassobre su ciberespacio, como China o Irn, no han hecho pblica sus correspondientesaproximaciones, lo cual no significa que no tengan una hoja de ruta claramentedefinida.En este escenario nacieron las primeras estrategias nacionales deciberseguridad, con un alto desarrollo entre el bienio 2011-2013. La antigedad no esrelevante de cara a su grado de implantacin y madurez. Algunas de las nacioneseuropeas, como Estonia y la Repblica Checa, estn realizando la segunda iteracin yrevisin de su estrategia. Del mismo modo, durante este ao, se espera la aprobacinde las estrategias de pases como Abu Dhabi, Tailandia, Ghana y Nigeria.
Puntos comunes
Como principal objetivo, estas estrategias vertebran la ciberseguridad como materiaprioritaria en la agenda de los respectivos gobiernos. Y promulgan, con ms o menosxito, establecer un liderazgo nico para coordinar las acciones y los actoresinvolucrados en la lucha contra los riesgos derivados del ciberespacio.
Asimismo, ponen de manifiesto la gravedad y complejidad de las ciberamenazas, as
-
como el grado de organizacin alcanzado por los grupos delincuentes o terroristas queestn detrs de ellas. Y enfatizan la dimensin social del problema, trascendiendo lamera prdida econmica o el dao individual que puedan causar.
Pases con estrategia nacional de ciberseguridad (verde)y en vas de desarrollo (amarillo). Fuente: Enisa 2014
Tambin identifican la necesidad de coordinacin entre los estamentos pblicosdedicados a la ciberseguridad y la de stos con los actores privados, una de lasprincipales barreras a la hora de luchar contra el cibercrimen. Destacan, por supuesto,la necesidad de cooperacin internacional, otra gran asignatura pendiente en labatalla contra un riesgo que, por naturaleza, es global.
As pues, podemos afirmar que la gran mayora de las estrategias presentan unaestructura comn, pivotando sobre tres conceptos bsicos:
1 Qu preocupa, identificando claramente qu tipo de ciberamenazas son las msprobables, identificando los nuevos actores y sus motivaciones.
2 Quin tiene responsabilidades, delimitando roles y rganos de gestin para la puestaen marcha de las respectivas iniciativas.
3 Cmo se responde a esa preocupacin, con lneas de actuacin y medidas concretasque marquen una firme determinacin poltica en la consecucin de los objetivosmarcados.
Divergencias
Sin embargo, tras un anlisis algo ms detallado, se encuentran diferenciassustanciales, no tanto en el reconocimiento del valor del ciberespacio, sino en las
-
lneas de accin y el down-to-earth de las tareas concretas.
1 Organizacin de la ciberseguridad.
La alta fragmentacin entre los actores estatales con competencias en el planociber vara notablemente entre las diversas naciones. Este hecho dificulta laefectividad de las acciones que se deben desarrollar en la lucha global contra laciberdelincuencia. No se encuentran referencias explcitas a este hecho en lasestrategias el mbito internacional. En las estrategias, de forma general, no se hace mencin a los mediostradicionales de cooperacin internacional formal en cibercrimen yciberamenazas, pudiendo no encontrarse habilitados para garantizar la obtencinde, por ejemplo, pruebas electrnicas, por lo general, de difcil acceso, voltilesy ubicuas.
2 Dotacin presupuestaria.
En casos como Estados Unidos, Reino Unido u Holanda se dota de forma expresaa la estrategia de ciberseguridad de un presupuesto definido y aprobado, algoque no ocurre, por ejemplo, en Espaa. Esta dotacin es relevante de cara aasegurar recursos exclusivos para este terreno y dar un mensaje de compromisoa la sociedad en general.
3 Definicin de amenazas y persecucin del cibercrimen.
La divergencia, o ausencia en algunos casos, de una tipificacin formalinternacional de los actos considerados como delictivos en el ciberespaciosupone un serio problema, pudiendo crear lagunas jurdicas y dando lugar aregiones opacas o parasos de cibercrimen. Si bien en determinadas regionesexiste un cada vez ms nutrido grupo de normas nacionales en materia deciberdelito, se hace notar la falta de tipificaciones comunes.
4 Vnculos territoriales y acuerdos de colaboracin.
La potencial ubicuidad de las actuaciones en el ciberespacio y sus amenazaspone de manifiesto la fragmentacin jurdica existente en el plano internacional,si bien existen acuerdos multilaterales que agrupan determinadas regiones deextensin variable (como sucede en la UE). De esta forma, pocas estrategias deciberseguriad nacionales reflejan esta realidad.
Conclusin
-
Durante aos las empresas han tenido que luchar, prcticamente solas, contra lasamenazas inherentes al uso de la red. En ello les iba su viabilidad econmica: fraude,daos reputacionales, propiedad intelectual, indisponibilidad de sus servicios, etc. Ylos gobiernos apenas han dedicado recursos para apoyarlas. Pero ahora est en juegoel propio desarrollo econmico nacional y las libertades de los ciudadanos, y hanempezado a reaccionar. Sin duda, queda mucho trabajo por hacer y muchos entresijospolticos por limar, pero comenzamos la andadura por el buen camino.
Fuente: Seguritecnia
Fecha: 2014-09-23
